作者:Shachar Menashe

OpenSSL团队已经宣布OpenSSL 3.0.7将包含一个修复至关重要的影响OpenSSL 3.x的严重漏洞。目前，除了受影响的版本和严重级别之外，没有关于该问题的详细信息。有关漏洞和修复版本(3.0.7)的详细信息请参见以下内容博客．

JFrog平台是否受此问题影响?

JFrog平台不容易受到此问题的影响，因为它不使用OpenSSL 3.x。

谁可能受到这个问题的影响?

OpenSSL团队确认只有OpenSSL 3。xversions are affected, specifically OpenSSL 3.0.0 – 3.0.7.
幸运的是3。xis a newer branch of OpenSSL, which was released approx. 1 year ago (Sep. 2021) and hasn’t been widely adopted yet.

使用OpenSSL 3的流行发行版。X是——

• 高山边缘(发展分支)
• CentOS Stream 9(开发分支)
• Fedora 36
• 卡莉2022.3
• Linux Mint 21
• Red Hat Enterprise Linux 9
• Ubuntu 22.04

请注意，已知有一些流行的开源项目使用OpenSSL 3。例如Node.js 17及以后的版本宣布安全更新也将在11月1日发布，尽管目前还不知道这个问题对Node.js用户的确切影响。

此外，已证实LibreSSL不受此问题影响

除了受影响的OpenSSL版本之外，没有关于利用此漏洞的先决条件的进一步信息。

这个问题的影响是什么?

由于禁运将持续到11月1日，这个问题的确切影响是未知的，除了它有一个严重的事实。

OpenSSL认为有一个“临界”严重漏洞产生以下影响- - - - - -

因此，我们可能会期望在常见场景中存在可利用的漏洞，其影响与Heartbleed错误(秘密泄露)或者更糟——远程代码执行。

作为参考，唯一被OpenSSL维护者评为“关键”的其他漏洞是cve - 2016 - 6309．

你能为这个问题做些什么准备?

1. 使用JFrog Xrhth华体会最新官方网站ay扫描您的产品，以确定是否有任何产品使用OpenSSL 3。X(参见下一节)
2. 如果发现了易受攻击的OpenSSL版本，请执行以下操作之一

如何使用JFrog Xray来检测这个问题?

JFrog可以通过正常的漏洞扫描检测到这个漏洞，并使用以下XRAY id来引用这个问题

• Ubuntu - XRAY-260242
• 红帽- XRAY-260216
• Alpine - XRAY-260241
• 非分布特异性- XRAY-260154

我怎样才能得到关于这个问题的最新信息?

与所有关键漏洞类似，我们将在细节出现时立即将我们的“JFrog Research”信息添加到Xray中，此外还有上下文分析器(如果适用)。
此外，我们计划发布一个技术博客文章一旦细节更清晰。
与往常一样，我们还将使用@JFrogSecurity Twitter句柄来发布有关此问题和其他安全漏洞的最新进展。

阅读更多在这里．